SQL參數中的通配符

我需要在我的SQL Server數據庫中進行類似的搜索。但是，我仍然使用我的搜索值的參數，我該如何做到這一點？SQL參數中的通配符

我不是在說封裝在%的。我需要能夠在搜索詞的中間添加%。

WHERE title LIKE '%foo%bar%'

作爲一個例子，但與params。

編輯：爲了詳細說明是否存在params：我使用MS SQL 2008和C＃，所以這將是：

WHERE title LIKE '@SearchParam'

和@SearchParam將被設置爲"%foo%bar%"。

我希望有道理嗎？

2011-09-07 Nicolai

這聽起來像一個邀請的一部分到SQL注入。也許你應該看看全文索引呢？ –

你可以舉一個參數的例子嗎？我在猜測你傳遞的參數是'foobar'，並且想要在它們之間插入'％'。我對嗎？ – NaveenBhat

我只是想讓用戶在他的搜索字段中添加一個*，然後用％替換它。因此，用戶可以搜索「Nic * olai」並獲得「Nicoolai」。我正試圖避免打開注射。如果我不能用參數來做這件事，我可能根本就不會這樣做。 – Nicolai

這工作得很好

create proc dbo.lookupWild(@LIKEclause VARCHAR(20)) 
as 
begin 
    select * from teams where Name like @LIKEclause 
end 
go 
exec lookupWild 'E%G%'

而且喜歡的東西 - 沒有SQL注入「1 = 1滴表」，他們只是通配符搜索

2011-09-07 12:27:05 Sparky

存儲過程真的是唯一的方法嗎？ – Nicolai

我真的不明白這是如何工作的？如果你：exec lookupWild'E％'或'1'='1 - 爲什麼不能破壞exec命令？ – Nicolai

試一試。 SQL不會將該參數解釋爲查詢的附加文本。該參數只是LIKE子句，所以如果你放入你的例子，SQL將它視爲一個LIKE表達式...... – Sparky

如果您使用的是存儲過程，這應該可以正常工作。 Here是一個類似的線程。

您是否在尋找類似下面？

where title like '%foo[%]bar%'

2011-09-07 12:23:25 CharithJ

也許我對這個問題的理解錯了，但我不認爲存儲過程會在這裏解決根本問題。 –

回答